Checkpoint encontró expuestos datos sensibles de una serie de aplicaciones, disponibles para cualquier persona con un navegador. Buscando en VirusTotal, una herramienta online gratuita de Google que analiza archivos y URLs para detectar virus, troyanos y otras formas de malware, los investigadores han identificado 2,113 aplicaciones móviles cuyas bases de datos han estado sin protección a lo largo de una investigación de tres meses.
Con entre 10,000 y 10,000.000 descargas, las aplicaciones móviles dejan expuesta información sensible que va, desde mensajes de chat en populares aplicaciones de citas, a fotos personales y de familia, identificaciones de tokens en una aplicación de salud, datos de plataformas de intercambio de criptomonedas, entre otros. Para acceder a las bases de datos expuestas, solo hay que buscar las aplicaciones móviles que se comunican con los servicios en la nube en VirusTotal, filtrar las que tienen acceso directo a los datos, y navegar en el enlace recibido.
Check Point Research advierte que es muy sencillo localizar conjuntos de datos y recursos críticos de las aplicaciones mediante la consulta de repositorios públicos, e insta a la industria a aplicar mejores prácticas de seguridad en la nube. En este sentido, las plataformas en la nube se han convertido en un estándar en el desarrollo de aplicaciones. Mientras escriben el código, los programadores pueden descuidar la configuración de la base de datos en la nube, dejándola expuestas en tiempo real. Si se deja desbloqueada y desprotegida antes de lanzar la aplicación a producción, la base de datos queda abierta a cualquiera que puede leer y escribir en ella.
«Con esta investigación demostramos lo sencillo que es que se produzca una filtración o explotación de datos. La cantidad de datos que se encuentra al descubierto y que está a disposición de cualquiera en la nube es mucho más fácil de vulnerar de lo que pensamos», alerta Eusebio Nieva, director técnico de Check Point Software para España y Portugal.
Bases Bases